Linux begreifen 2d: Signaturwechsel bei Paketquellen

class: center, middle

![img33r](distribution.png)
## Linux begreifen 2d:</br>Signaturwechsel bei Paketquellen
### Hauke Goos-Habermann
#### https://weisheit.goos-habermann.de
---

### Über mich

- Entwickler des <a href="https://m23.sourceforge.io">Softwareverteilungssystems m23</a>

- Organisator der <a href="https://kielux.de">Kieler Open Source und Linux Tage</a>

- <a href="https://goos-habermann.de/">Dienstleister zu m23, Linux und Freier Software</a>

- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...)
  - Administration
  - Schulungen
  - Support
  - Beratung
  - quasi **alles**, *was mit Linux zu tun hat*

- Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides

- *"Nicht der Weisheit letzter Schluß"* mit **beruflichen** oder **privaten Projekten** auf <a href="https://tube.tchncs.de/c/ndwls">tube.tchncs.de/c/ndwls</a> und <a href="https://youtube.com/@nichtderweisheit">youtube.com/@nichtderweisheit</a>

- Verwendet Linux seit 1996 auf vielen Systemen.
---

### Linux begreifen: Nochmal was mit Paketen

![img33r](Administration_von_Debian_und_Co_im_Textmodus-2021.png)

* **Nicht**: *"1000 unglaublich tolle Tips, wie Du Deinen Desktop noch schicker machen kannst"*	
* Sondern für alle gedacht, die sich **eingehender** mit Linux beschäftigen wollen
	* Hintergründe und Grundlagenwissen
	* Praxisbezug
	* Fähigkeiten auf den Kommandozeile
	* Konfiguration ohne grafische Oberfläche

* **Jetzt buchen: *Schulungen und Workshops***
	* Online oder vor Ort
	* Wunschthemen aus Linux- und OpenSource-Bereich
	* Aufzeichnung als Video
	* Anfragen: <a href="https://goos-habermann.de/kontakt">https://goos-habermann.de/kontakt</a>

Kostenloses Basisschulungsmaterial: <a href="https://goos-habermann.de/data/Administration_von_Debian_und_Co_im_Textmodus-2021.pdf">https://goos-habermann.de/data/Administration_von_Debian_und_Co_im_Textmodus-2021.pdf</a>
---

### Signaturwechsel?

![img33r](pinguin-unterschreibt01.webp)

Paketquellen werden digital signiert, um sie vor Manipulationen zu schützen.

Hin und wieder muß der Signaturschlüssel, z.B. wenn der **Signatur-Algorithmus unsicher** oder der **Schlüssel kompromittiert** wird, ausgewechselt werden.

Das führt zu Problemen, denn den Zeitpunkt, **wann Pakete aktualisiert** werden, bestimmt der Anwender/Administrator bzw. eine Automatisierung.

Daher braucht es ein (genügend großes) Zeitfenster, in dem die **Paketquelle mit** dem **alten** und **neuen Schlüssel signiert** ist. Denn nur so kann mittels eines neuen Paketes der neue öffentliche Signaturschlüssel eingespielt werden.
---

### Sicherheit (Signatur)

![img20r](schloss.png)

Damit **Pakete nicht verfälscht** (durch bewußte Manipulation oder Übertragungsfehler) werden, sind diese durch **Checksummen** und **digitale Signaturen geschützt**.

Die Datei ***<a href="Release">Release</a>*** enthält Checksummen über die Paketindexdateien (***<a href="Packages">Packages</a>*** und die komprimierten Versionen), die ihrerseits Checksummen über alle Pakete enthalten.

Mittels GPG-Signatur wird die Release-Datei gegen Manipulationen abgesichert:

* ***<a href="InRelease">InRelease</a>***: Enthält den kompletten Inhalt der Release-Datei und bettet die GPG-Signatur ein

* ***<a href="Release.gpg">Release.gpg</a>***: Enthält nur die GPG-Signatur

**Mehr zum Signieren** von Paketquellen im Video: <a href="https://goos-habermann.de/weisheit-10196-Linux-begreifen-2a-Paketverwaltung">Linux begreifen 2a: Paketverwaltung</a>
---

### Paketquellensignierung

![img33r](pinguin-unterschreibt03.webp)

Das **Doppelsignieren** kann über die folgenden <a href="https://goos-habermann.de/d-t">Dodger-Tools</a>-Module geschehen:

* **dt_deb_createPackagesIndex**: Erstellt die Packages-Datei über alle Debian-Paketdateien im aktuellen Verzeichnis
* **dt_deb_createSignedInReleases**: Legt Release und die signierten Variangen InRelease und Release.gpg an</br></br>Parameter:
	* Ein oder mehrere GPG-Schlüssel-IDs
	* Ursprung der Paketquelle (z.B. m23)
	* Name des Releases (z.B. stable)
	* Optional: Abweichender lokaler Benutzer, der gpg aufrufen soll.

```bash
# Beispiel
dt_deb_createSignedInReleases\
 "0x12345678 0x87654321" m23 stable ich
```
---

### Signaturwechsel auf den Endgeräten

![img33r](pinguin-unterschreibt04.webp)

Debian-Pakete können, neben dem Datenanteil, Skripte beeinhalten, die z.B. nach dem Entpacken (**<a href="postinst">postinst</a>**) ausgeführt werden.

Das Beispiel macht folgendes:

* GPG-Schlüssel schreiben
* Testen ob ```apt-key``` verfügbar ist und der alte Schlüssel vorhanden ist
	* Ggf. alten Schlüssel mit ```apt-key``` löschen
* Schlüsselablagenvariante ermitteln
	* Neu: Schlüssel unter /etc/apt/trusted.gpg.d ablegen
	* Alt: Per ```apt-key``` importieren
* Passende Paketquellenlistendatei schreiben

---

### Funktioniert das auch?

![img33r](pinguin-unterschreibt02.webp)

Erfolgreich getestet habe ich die Doppelsignatur unter:

* Raspbian GNU/Linux 11

* Raspbian GNU/Linux 12

* Linux Mint 22 Wilma

* Ubuntu 24.04

* Debian 12

* Debian 13
---

class: center, middle
### Informationen zu mir und meinen Dienstleistungen, m23, ...
### https://goos-habermann.de